Информационные технологииStfw.Ru 🔍
🕛

Выявлен источник, ответственный за распространение вируса-вымогателя Bad Rabbit, который атаковал вчера украинские компании

Вчера Украинские компании подверглись очередной атаке вируса-шифровальщика. На ..., Вчера Украинские компании подверглись очередной атаке вируса-шифровальщика. На этот раз злоумышленники

Вчера Украинские компании подверглись очередной атаке вируса-шифровальщика. На этот раз злоумышленники использовали вирус Bad Rabbit – модификацию вируса Petya.А, который заразил компьютеры летом этого года.
Компания Group-IB, занимающаяся расследованиями киберпреступлений, уже выяснила некоторые факты последней кибератаки и поделилась данными с общественностью. Отмечается, что вирус-шифровальщик Bad Rabbit связан с пятью ресурсами, на владельцев которых зарегистрировано множество других сайтов, в том числе фарма-партнерок (сайты, продающие поддельные медикаменты через спам).
«Не исключено, что они использовались для рассылки спама, фишинга», — отмечается в сообщении.
После захода на зараженный ресурс пользователю предлагалось обновить flash-плеер. В случае нажатия кнопки данные на его компьютере зашифровывались. Вирус также крал пароли с его устройства и с их помощью зашифровывал другие компьютеры, находящиеся с ним в одной сети, — рассказали в Group-IB.
Ранее эксперты лаборатории ESET сообщили о «сотне атак» с использованием Bad Rabbit (типа вируса — Win32/Filecoder.Locky.D). Большинство срабатываний антивирусных продуктов ESET пришлось на Россию и Украину, затронуты оказались также Турция, Болгария. Как стало известно позднее, на Россию пришлось 65% атак, на Украину — 12,2%, Болгарию — 10,2%, Турцию — 6,4%, Японию — 3,8%, на другие страны — 2,4%.
Специалисты ESET установили, что вредоносное ПО использует инструмент Mimikatz для извлечения учетных данных из зараженных систем. Кроме того, указывают эксперты, им удалось установить, что именно Diskcoder.D был задействован во время хакерской атаки на Киевский метрополитен.
В то же время украинская киберполиция отмечает, что вчерашняя атака было не целенаправленной. От ее последствий пострадали не только украинские субъекты хозяйствования. Согласно предварительному анализу, указанная атака также была осуществлена с использованием бот-сети Necurs.
Правоохранители указывают, что компьютеры пользователей с операционной системой Windows, по одной из версий, были поражены в результате открытия файлов электронных документов с расширением .doc и .rtf, которые направлялись по каналам электронной почты от неустановленных отправителей. После этого выполнялся встраиваемый в документы вредный алгоритм, в результате которого загружался и выполнялся файл — тело вируса под названием «heropad64.exe». После отработки указанного вируса диск компьютера зашифровывался, на экране изображалось сообщение с требованием выкупа за расшифровку файлов и ссылкой на сайт в сети ТОR, где можно получить реквизиты для перевода средств в размере 0,05 ВТС.
Источник: «Лига.Бизнес», ИНТЕРФАКС
В Украине 24 октября кибератаке подверглись Одесский аэропорт, Киевский метрополитен, а также Министерства инфраструктуры Украины. Государственная служба специальной связи и защиты информации накануне заявила, что в кибератаке на объекты инфраструктуры Украины использовали технику DDE.

К вечеру 24 октября СБУ сообщила о блокировании кибератаки. По информации Госспецсвязи, объекты инфраструктуры были атакованы вирусом-шифровальщиком Locky. Скрипт загружал в систему с одного из доступных на момент активации url… исполняемый файл heropad64.exe, который в свою очередь загружал на компьютер пользователя вирус-шифровальщик Locky.

Также пресс-служба Службы безопасности Украины опубликовала рекомендации по предотвращению несанкционированного блокирования информационных систем.

Также по теме:
Компьютеры, Интернет. Открытые вопросы и ответы.